Связаться с намиПодключиться

Настроить доступ пользователям пула

Статья создана
Улучшена
Обновлена 10 ноября 2025 г.

Примечание

Функциональность находится на стадии Preview.

Чтобы предоставить доступ к пулу, назначьте роли субъектам. Узнайте, какие роли действуют в сервисе, чтобы назначить нужные.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для назначения ролей пользователям пула:

    yc organization-manager idp userpool set-access-bindings --help

  2. Получите список пулов пользователей и их идентификаторы:

    yc organization-manager idp userpool list --organization-id <идентификатор_организации>

    Где --organization-idидентификатор организации, в которой нужно получить список пулов пользователей.

  3. Получите идентификатор пользователя, сервисного аккаунта или группы пользователей, которым назначаете роли.

  4. С помощью команды yc organization-manager idp userpool set-access-bindings назначьте роли:

    • Пользователю с аккаунтом на Яндексе или локальному пользователю:

      yc organization-manager idp userpool set-access-bindings \
  --id <идентификатор_пула> \
  --access-binding role=<роль>,user-account-id=<идентификатор_пользователя>

    • Федеративному пользователю:

      yc organization-manager idp userpool set-access-bindings \
  --id <идентификатор_пула> \
  --access-binding role=<роль>,subject=federatedUser:<идентификатор_пользователя>

    • Сервисному аккаунту:

      yc organization-manager idp userpool set-access-bindings \
  --id <идентификатор_пула> \
  --access-binding role=<роль>,service-account-id=<идентификатор_сервисного_аккаунта>

    • Группе пользователей:

      yc organization-manager idp userpool set-access-bindings \
  --id <идентификатор_пула> \
  --access-binding role=<роль>,subject=group:<идентификатор_группы>

    • Всем авторизованным пользователям (публичная группа All authenticated users):

      yc organization-manager idp userpool set-access-bindings \
  --id <идентификатор_пула> \
  --access-binding role=<роль>,all-authenticated-users

    Для каждой роли передайте отдельный параметр --access-binding. Пример:

    yc organization-manager idp userpool set-access-bindings \
  --id <идентификатор_пула> \
  --access-binding role=<роль1>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль2>,service-account-id=<идентификатор_сервисного_аккаунта> \
  --access-binding role=<роль3>,service-account-id=<идентификатор_сервисного_аккаунта>

Воспользуйтесь методом REST API Userpool.SetAccessBindings для ресурса Userpool или вызовом gRPC API UserpoolService/SetAccessBindings.

Предыдущая
Получить список пользователей в пуле
Следующая
Удалить пул пользователей